« 可视化事件分析器 调整检测规则 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报

查询警报索引

编辑

查询警报索引编辑

此页面解释了如何查询警报索引,例如在构建规则查询、自定义仪表板或可视化时。有关警报事件字段定义的更多信息,请查看 警报模式.

警报索引别名编辑

我们建议查询以下索引别名

  • 如果您使用的是 8.0.0 或更高版本:.alerts-security.alerts-<space-id> 此别名包含旧版(8.0.0 之前)和新的警报索引。
  • 如果您使用的是 8.0.0 之前的版本:.siem-signals-<space-id> 对此别名的查询将根据您的 Elastic Stack 版本正常工作,但不会遵循较新的 .alerts 命名约定,并且可能会在将来的版本中被弃用。

无论您查询哪个别名,都不应在空格 ID 后面包含连字符或通配符。要查询所有空间,请使用以下语法:.alerts-security.alerts-*.siem-signals-*.

警报索引编辑

为了提供更多上下文,警报事件存储在隐藏的 Elasticsearch 索引中。我们不建议直接查询它们。这些索引及其别名的命名约定因您运行的 Elastic Stack 版本而异

  • 8.0.0 或更高版本: .internal.alerts-security.alerts-<space-id>-NNNNNN,其中 NNNNNN 是一个随着时间推移而增长的数字,从 000001 开始。
  • 8.0.0 之前: .siem-signals-<space-id>-NNNNNN,其中 NNNNNN 是一个随着时间推移而增长的数字,从 000001 开始。
« 可视化事件分析器 调整检测规则 »